Informatiebeveiliging. Ofwel ‘het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit met als doel om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, 

vooraf bepaald niveau te beperken’.

Het verleden biedt geen garantie voor de toekomst

Deze beschikbaarheid en continuïteit van kritische bedrijfsprocessen kan natuurlijk in gevaar komen. Door bijvoorbeeld een incident zoals brand, wateroverlast of een (stroom)storing. Met alle gevolgen van dien voor een burger, de bedrijfsvoering van een organisatie en de reputatie van de gemeente. Maar hoe kun je als gemeente de beschikbaarheid en continuïteit van je kritische bedrijfsprocessen (blijven) garanderen indien deze in gevaar komen?

Voorkomen is beter dan genezen

Om stagnatie van deze kritische bedrijfsprocessen binnen gemeenten te voorkomen is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen. Daarnaast is het belangrijk dat er een inschatting wordt gemaakt van het effect van elke bedreiging op de kritische bedrijfsprocessen. Want, door adequaat op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Business Continuïty Management (BCM)’ of in het Nederlands, Bedrijfscontinuïteitsbeheer. Onderdeel van dit Bedrijfscontinuiteitsbeheer vormt het uitvoeren van een Bedrijfsimpactanalyse (BIA). Door middel van zo’n BIA worden de kritieke processen van de niet-kritieke processen binnen de gemeentelijke organisatie onderscheiden. Maar hoe bepaal je of een bedrijfsproces kritiek is voor je gemeentelijke organisatie? Ik geef je graag een aantal criteria waarmee je de toets kunt doen. Een proces is kritiek indien:

• het om wetgeving gaat (bijvoorbeeld processen binnen Openbare orde en veiligheid)
• het de burger raakt (bijvoorbeeld processen binnen Sociale Zaken)
• het andere processen binnen je gemeente raakt (bijvoorbeeld processen binnen Financieel beheer)
• het de beschikbaarheid van je gemeentelijke dienstverlening raakt (bijvoorbeeld processen binnen Sociale Zaken of Burgerzaken)
• het hoge herstelkosten met zich meebrengt (bijvoorbeeld processen binnen Openbare orde en veiligheid)
• het hoge integriteit vereist (bijvoorbeeld processen binnen Sociale Zaken en Gezondheidszorg)
• het om verwerking van vertrouwelijke informatie (zoals persoonsgegevens) gaat in het kader van privacy (bijvoorbeeld processen binnen Burgerzaken/BRP)
• het een afbreukrisico heeft, dan wel tot reputatieschade leidt (bijvoorbeeld processen binnen de BRP)

Bij een BIA wordt er samen met de verantwoordelijken binnen je gemeente gekeken naar wat de mogelijke impact en schade is bij het uitvallen van een dergelijk proces en wordt inzichtelijk gemaakt wat de gemeente minimaal moet doen om na een incident haar bedrijfsactiviteiten te kunnen voortzetten.

Bedrijfsimpactanalyse (BIA); linksom of rechtsom?

Door middel van een BIA kun je als gemeente per kritisch bedrijfsproces de maximale uitvalsduur, ofwel Recovery Time Objective (RTO), van een proces vaststellen. Bij de gebruikelijke aanpak gaat dit als volgt:

1. Op basis van de RTO’s wordt een strategie opgesteld
2. Deze strategie geeft aan welke maatregelen nodig zijn om de bedrijfsprocessen weer te herstellen
3. Om de strategie uit te voeren zijn vaak aanvullende aanpassingen/investeringen nodig
4. Nadat de maatregelen zijn uitgevoerd, kan er getest en geoefend worden
5. Waarna er tot slot een evaluatie plaatsvindt van de uitkomsten

Helaas zijn desinvesteringen bij deze aanpak niet uitgesloten. Deze worden vaak veroorzaakt doordat de BIA veel tijd en inzet vraagt en daardoor vaak worden uitgevoegd door functionarissen uit het middenmanagement van de gemeente. Bedrijfscontinuïteit is echter een strategische aangelegenheid, waarvoor het noodzakelijk is dat het (top)management de strategische keuzes maakt. Hierdoor kan het zijn dat de vastgestelde RTO’s moeten worden bijgesteld aan de hand van de uitkomsten van de testen.

Omgekeerde BIA

Maar moeten we de BIA nog wel volgens de gebruikelijke aanpak willen uitvoeren? Of kan dit ook pragmatischer? De Informatiebeveiligingsdienst voor gemeenten (IBD ) heeft onlangs de ‘omgekeerde Bedrijfsimpactanalyse (BIA)’ geïntroduceerd, tijdens de regiobijeenkomsten over BCM en in hun nieuwe BIG-OP producten. In deze aanpak wordt een andere volgorde aangehouden. Er wordt namelijk eerst gekeken naar welke calamiteiten er kunnen plaatsvinden en hoe je als organisatie op dat moment de situatie aanpakt. Vervolgens worden de BCM-documenten hiervoor opgesteld, vinden er testen plaats en worden tenslotte de resultaten geëvalueerd. Pas daarna worden er eventueel maatregelen doorgevoerd. Er zijn op dat moment dus nog geen grote investeringen of aanpassingen gedaan en de kans op desinvesteringen is daardoor ook kleiner. Bijkomend positief effect is dat het management deze werkwijze zelf bedenkt en beoordeelt.

BCM; gaat dit de CISO-pet te boven?

Maar wie z’n taak is het eigenlijk binnen een gemeente om BCM op te starten? De CISO, het management of iemand anders? Oorspronkelijk hadden gemeenten een calamiteitenplan, hierin stond slechts beschreven hoe een ICT-incident aangepakt moest worden. De rest was onderdeel van het Bedrijfshulpverleningsplan (BHV-plan). Tegenwoordig worden, mede door de digitalisering, alle potentiële incidenten die kunnen plaatsvinden binnen een gemeente in één plan verwerkt. Hiervan dient het overgrote deel van de incidenten bij de CISO te worden gemeld. Immers, niet alleen bij digitale calamiteiten, zoals een hack, kan de informatieveiligheid in gevaar komen. Juist ook incidenten zoals brand en overstromingen kunnen de informatieveiligheid binnen een gemeente verstoren. De CISO heeft dus veel te maken met BCM.

Bedrijfscontinuïteit is echter ook een strategische aangelegenheid, waarbij het noodzakelijk is dat het management de strategische keuzes maakt. De ‘omgekeerde’ BIA vraagt een grotere investering van het management dan de gebruikelijke aanpak, maar kan op die manier wel tijd en desinvesteringen besparen. Dan lijkt het verstandiger om de RTO doormiddel van de omgekeerde BIA vast te stellen, toch?

Ben jij in jouw gemeente al bezig met BCM? Zo ja, wie nam daarin het initiatief?